Anspruch auf Geldentschädigung nach Art. 82 DSGVO setzt Eintritt eines konkreten Schadens voraus

Datenübermittlung Drittland Geldentschädigung

WrightStudio – stock.adobe.com

Mit Urteil vom 25.05.2021 hat das Landesarbeitsgericht Baden-Württemberg (LArbG) entschieden, dass ein Verstoß gegen die Bestimmungen des 5. Kapitels der Datenschutzgrundverordnung (Art. 44 ff. DSGVO) dann nicht vorliegt, wenn personenbezogene Daten von Beschäftigten vor der Einführung der DSGVO am 25. Mai 2018 an ein Mutterkonzern in ein Drittland übermittelt wurden.

Außerdem kommt eine Geldentschädigung wegen eines immateriellen Schadens gemäß Art. 82 DSGVO im Zusammenhang mit der Datenübermittlung und weitergehenden Verarbeitungen von personenbezogene für den Betroffenen nicht in Betracht, sofern kein konkreter Schaden entstanden ist.

Datenübermittlung durch den Arbeitgeber

Die Parteien streiten über einen immateriellen Schadensersatzanspruch im Zusammenhang mit der Übermittlung von personenbezogenen Daten des Klägers an die vormalige Konzernmutter der Beklagten in den Vereinigten Staaten von Amerika (USA).

Der Kläger ist seit 1984 bei der Beklagten angestellt. Sie betreibt ein Unternehmen der Zahnmedizintechnik, welches seit mehr als 10 Jahren zu einem Konzern, mit Hauptsitz in den USA, gehört. Die Beklagte verarbeitet personenbezogene Daten ihrer Beschäftigten insbesondere, aber nicht ausschließlich zu Abrechnungszwecken mittels SAP-Software. Darin speichert die Beklagte unter anderem Gehaltsinformationen, die private Wohnanschrift, das Geburtsdatum, das Alter, den Familienstand, die Sozialversicherungsnummer und die Steuer-ID ihrer Beschäftigten.

Im Jahr 2017 – vor Einführung der Datenschutz-Grundverordnung – begannen Planungen für den gesamten Konzern das cloudbasierte Personalinformationsmanagementsystem „Workday“ einzuführen. Unter Bezugnahme auf § 34 des Bundesdatenschutzesetzes aF (BDSG) forderte der Kläger die Beklagte auf, zu allen zu seiner Person gespeicherten Daten Auskunft zu geben. Daraus ergab sich, dass die Beklagte aus SAP personenbezogene Daten des Klägers auf eine Sharepoint-Seite des Konzerns übermittelte, um mit diesen Daten „Workday“ zu befüllen. Daraufhin machte der Kläger geltend, die Beklagte sei datenschutzrechtlich nicht befugt gewesen, personenbezogene Daten des Klägers in das System „Workday“ auf eine dem Mutterkonzern gehörende Sharepoint-Seite in die USA zu übertragen, weshalb dem Kläger ein Anspruch auf Ersatz des immateriellen Schadens zustehe. Denn die Beklagte habe datenschutzrechtlich sensible Daten des Klägers übermittelt, wozu die Beklagte nicht berechtigt gewesen sei. Der Abfluss der Daten führe daher in jedem Fall zu einem immateriellen Schaden, der sowohl in einem Bloßstellungseffekt als auch in der Gefahr des Missbrauchs der Daten liegen könne.

Datenübermittlung in ein Drittland nur unter bestimmten Voraussetzungen

Eine Datenübermittlung in ein Drittland ist nur unter Einhaltung der in Kapitel 5 der DSGVO genannten Anforderungen zulässig, die in der Praxis jedoch nur selten vorliegen. Werden diese Anforderungen nicht eingehalten und erfolgt eine Datenübermittlung dennoch, so liegt ein Verstoß gegen die Bestimmungen der DSGVO vor. Dieser Verstoß kann dann zu einem Recht auf Schadensersatz nach Art. 82 DSGVO führen. Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Nur wenn der Verantwortliche nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, wird er von der Haftung befreit.

Art. 82 DSGVO setzt konkreten Schaden voraus

Das Landesarbeitsgericht Baden-Württemberg (LAG Baden-Württemberg, Urteil v. 25.02.2021, Az. 17 Sa 37/20) kam zu dem Entschluss, dass die konkreten Umstände hier zwar grundsätzlich zur Begründung eines immateriellen Schadens nach Art. 82 DSGVO in Betracht kommen. Allerdings lehnte das Gericht eine Haftung des Arbeitgebers ab, da es an einem konkreten Verstoß gegen die Bestimmungen der DSGVO fehle. Art. 82 DSGVO fordere vielmehr, dass der Schaden „wegen eines Verstoßes“ gegen die Verordnung entstanden sei. Das setze voraus, dass der Schaden einem Verordnungsverstoß zugeordnet werden könne und somit tatsächlich eingetreten ist – woran es hier jedoch fehle.

Das Gericht macht deutlich, dass der Schaden gerade durch den Rechtsverstoß entstanden sein müsse. Es genüge demnach nicht, dass der Schaden durch eine Verarbeitung entstanden sei, in deren Rahmen es dann irgendwann zu einem Rechtsverstoß gekommen ist. Man könne also nicht davon ausgehen, dass ein Rechtsverstoß bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DSGVO die fortgesetzte Datenverarbeitung „infiziere“ und sodann zu einem Schadensersatzansprüche führe. Die Kausalitätsprüfung soll ja gerade verhindern, dass es zu einer uferlosen Schadensersatzpflicht für alle möglichen, noch so entfernten Schäden komme, für die ein rechtswidriges Verhalten eine Ursache gesetzt hatte. Das führe insbesondere dazu, dass der Kläger keinen durch die Beklagte infolge eines Verordnungsverstoßes verursachten immateriellen Schaden erlitten habe. Anknüpfungspunkt für den Schaden könne weder die Datenübermittlung sein – denn diese habe bereits stattgefunden als die DSGVO noch nicht in Geltung war – noch der Umstand, dass die Beklagte zum Zeitpunkt des Geltungsbeginns der DSGVO als Verantwortliche personenbezogene Daten bei der Konzernmutter als Auftragsverarbeiterin hat speichern lassen. Die Auftragsdatenverarbeitung erfolgte auf einer ausreichenden vertraglichen Grundlage, welche zudem auch den Anforderungen für eine Auftragsdatenverarbeitung nach Art. 28 DSGVO gerecht wurde. Daher könne die vom Arbeitnehmer behauptete permanente Unsicherheit, dass unbefugte Dritte auf Daten des Klägers Zugriff nehmen, nicht einem Verstoß gegen die DSGVO zugeordnet werden. Die Beklagte habe also alle Erfordernisse der DSGVO eingehalten, um eine sichere Auftragsdatenverarbeitung bei ihrer Konzernmutter zu gewährleisten, hielten die Richter fest.

Kausalität zwischen Schaden und Verstoß gegen die Verordnung

Das Urteil verdeutlicht erneut, dass ein Anspruch im Sinne des Art. 82 DSGVO nur angenommen und der immaterielle oder materielle Schaden dementsprechend ersetzt werden kann, wenn ein tatsächlicher Zusammenhang zwischen dem Schaden und dem Verordnungsverstoß gegeben ist.

Neben der Gefahr eines Missbrauchs der Daten oder einem Kontrollverlust als immateriellen Schaden, muss daher vor allem die Kausalität zwischen diesem und dem Verstoß gegen die DSGVO vorliegen. Woran es jedoch offensichtlich fehlt, wenn der Beklagte weder gegen Bestimmungen des 5. Kapitels der DSGVO noch gegen Art. 28 DSGVO verstoßen hat. Ein verbleibender Verstoß gegen die Vorschriften des Bundesdatenschutzgesetzes (BDSG) kann im Übrigen keinen Schadensersatzanspruch nach Art. 82 DSGVO auslösen – was plausibel erscheint! Denn das Anspruchserfordernis des Art.  82 DSGVO „wegen eines Verstoßes gegen die DSGVO“ passt dann offensichtlich nicht mehr.

Die mobile Version verlassen